Bilişim teknolojilerinde yaşanan gelişmeler, günümüzde veri işlemeyi hem kolaylaştırmış hem de hızlandırmıştır. Ülkemizde başta şirketler olmak üzere; özel hukuk tüzel kişileri, kamu kurum ve kuruluşları ve gerçek kişiler tarafından her gün milyonlarca kişinin verileri işlenmekte ve bu verilerin büyük bir kısmını kişisel veriler oluşturmaktadır. Dolayısıyla, kişisel verileri işlenen kişilerin hakları ve kişisel verilerin korunması amacıyla hukuki düzenlemelerin yapılması gereği doğmuştur. Bu yazımızda, kişisel verilerin korunması kapsamında Türkiye’de yapılan hukuki düzenlemelere değinecek ve bunların kısa bir tarihini çıkarmaya çalışacağız.
28 Ocak 1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
Kişisel verilerin korunması ile ilgili olarak Türkiye tarafından imzalanan ilk sözleşme, 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesidir. Sözleşme, Türkiye tarafından 28 Ocak 1981 tarihinde imzalanmış fakat 17 Mart 2016 tarihinde Resmî Gazetede yayımlanarak 1 Eylül 2016 tarihinden itibaren yürürlüğe girmiştir. Sözleşmenin temel amacı, her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun; gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır.
8 Kasım 2001 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ek olarak, 181 sayılı Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol kabul edilmiştir. Protokol 8 Kasım 2001 tarihinde Türkiye tarafından imzalanmış ve 5 Mayıs 2016 tarihinde Resmî Gazetede yayımlanarak iç hukukumuzun bir parçası hâline getirilmiştir. Protokol ile taraf devletler, ülkelerinde uygulanmak üzere, kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmişlerdir. Nitekim bu taahhüt, Türkiye tarafından Kişisel Verilerin Korunması Kurumu kurularak yerine getirilmiştir.
26 Eylül 2004 tarihli ve 5237 Sayılı Türk Ceza Kanunu
26 Eylül 2004 tarihinde kabul edilen ve 1 Haziran 2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu ile mevzuatımızda kişisel verilerin korunmasına dair ilk defa cezai hükümlere yer verilmiştir. Türk Ceza Kanunu’nun 135’inci maddesinde “kişisel verilerin kaydedilmesi”, 136’ncı maddesinde “verileri hukuka aykırı olarak verme veya ele geçirme” ve 138’inci maddesinde “veri yok etmeme” suçları düzenlenmiştir. Bu hükümlere göre; hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren ve kanunların belirlediği sürelerin geçmiş olmasına rağmen kişisel verileri sistem içinde yok etmek görevini yerine getirmeyen kişiler hapis cezasına çarptırılacaktır.
2010 Anayasa Değişikliği
Anayasa’nın 20’nci maddesinde özel hayatın gizliliği, “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmü ile güvence altına alınmıştır. 2010 yılında yapılan Anayasa değişikliği ile, özel hayatın gizliliği ile ilgili maddeye, kişisel verilerin korunması ile ilgili bir hüküm eklenmiş ve kişisel veriler anayasal güvence altına alınmıştır. Buna göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Ülkemizde kişisel verilerin korunmasına dair özel bir kanun çıkarma çalışmaları ilk kez 1989 yılında başlamış ve mecliste bu konu ile ilgili bir komisyon oluşturulmuştur. Kurulan komisyon çalışmaları tamamlayamamış ve 2000 yılında farklı bir komisyon kurulmuştur. Yeni kurulan bu komisyon, üç yıllık çalışmanın sonucunda, kişisel verilerin korunması ile ilgili bir kanun tasarısı hazırlamış; fakat ilgili tasarı kanunlaşamamıştır. Benzer bir şekilde, 2008 ve 2014 yıllarında yeni kanun tasarıları hazırlanmış ve Türkiye Büyük Millet Meclisi’ne sunulmuş olmalarına rağmen, yasama dönemi sona erdiği için bu kanun tasarıları kadük hâle gelmiştir.
Son olarak Türkiye Büyük Millet Meclisi’ne 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanun Tasarısı” sunulmuş ve tasarı 24 Mart 2016 tarihinde mecliste kabul edilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanunu’nun hazırlanması ve kabul edilmesini sağlayan en önemli etmenler olarak, insan haklarının etkin bir şekilde korunması, uluslararası iş birliği ve ticaretin arttırılması, EUROPOL ve EUROJUST ile güvenlik birimleri ve yargı makamları arasındaki elektronik veri paylaşımının sağlanması ve Avrupa Birliği ile yürütülen üyelik müzakereleri belirtilmektedir. Avrupa Birliği ile yürütülen üyelik müzakerelerinin beş faslı kişisel verilerin korunması ile ilgilidir.
Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, Kişisel Verileri Koruma Kurumu kurulmuştur. İdari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu, kurul ve başkanlıktan oluşmakta ve merkezi Ankara’da bulunmaktadır. Ülkemiz, Kişisel Verilerin Korunması Kurumu’nun kurulmasıyla birlikte, 181 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol’den doğan kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurma taahhüdünü yerine getirmiştir.
30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik
Kişisel Verilerin Korunması Kanunu uyarınca, Kişisel Verileri Korunma Kurumu Başkanlığı tarafından, Kişisel Verileri Koruma Kurulu gözetiminde Veri Sorumluları Sicili tutulmaktadır. Kişisel verileri işleyen gerçek ve tüzel kişilerin bu sicile kaydolma yükümlülükleri bulunmaktadır. Kişisel Verilerin Korunması Kanunu kapsamında Veri Sorumluları Sicili ile ilgili belirli hükümlere yer verilmiş ve Veri Sorumluları Siciline ilişkin diğer usul ve esasların yönetmelikle düzenleneceği ifade edilmiştir. Nitekim, bu doğrultuda Kişisel Verileri Koruma Kurumu tarafından, Veri Sorumluları Sicili Hakkında Yönetmelik hazırlanmış ve 30 Aralık 2017 tarihinde Resmî Gazete’de yayımlanarak 1 Ocak 2018 tarihi itibariyle yürürlüğe girmiştir.
Sicile Kayıt Yükümlülüğünün Başlama Tarihleri ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 tarihli ve 2018/88 sayılı Kararı
Veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülükleri ile ilgili tarihleri belirleme ve ilan etme yükümlülüğü, Kişisel Verilerin Korunması Kanunu uyarınca, Kişisel Verileri Koruma Kuruluna verilmiştir. Bu doğrultuda, Kişisel Verileri Koruma Kurulu tarafından 19 Temmuz 2018 tarihinde sicile kayıt yükümlülüğünün başlangıç ve son kayıt tarihleri ile ilgili oy birliği ile bir karar alınmıştır. Bu karara göre:
- Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları için, sicile kayıt yükümlülüğünün başlangıç tarihi olarak 1 Ekim 2018, son kayıt tarihi olarak ise 30 Eylül 2019 belirlenmiş ve toplamda 12 ay süre verilmiştir.
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için, sicile kayıt yükümlülüğünün başlangıç tarihi olarak 1 Ekim 2019, son kayıt tarihi olarak ise 31 Mart 2020 belirlenmiş ve toplamda 6 ay süre verilmiştir.
- Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları için, sicile kayıt yükümlülüğünün başlangıç tarihi olarak 1 Ekim 2018, son kayıt tarihi olarak ise 30 Eylül 2019 belirlenmiş ve toplamda 12 ay süre verilmiştir.
- Kamu kurum ve kuruluşu veri sorumluları için, sicile kayıt yükümlülüğünün başlangıç tarihi olarak 1 Nisan 2019, son kayıt tarihi olarak ise 30 Haziran 2020 belirlenmiş ve toplamda 15 ay süre verilmiştir.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Sürelerinin Uzatılması hakkında 03/09/2019 tarihli ve 2019/265 sayılı, 17/12/2019 tarihli ve 2019/387 sayılı, 23/06/2020 tarihli ve 2020/482 sayılı ve 11/03/2021 tarihli ve 2021/238 sayılı Kişisel Verileri Koruma Kurulu Kararları
Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri, bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kişisel Verileri Koruma Kurumuna iletilen taleplerin, Kişisel Verileri Koruma Kurulu tarafından değerlendirilmesi sonucunda ve çeşitli diğer sebeplerle, veri sorumlularının VERBİS’e son kayıt tarihlerinde dört kez değişikliğe gidilmiştir. Kişisel Verileri Koruma Kurulu kararıyla yapılan bu tarih değişikliklerinin son ikisi için COVID-19 salgını nedeniyle Veri Sorumluları Siciline kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorlukların yaşanması gerekçe olarak gösterilmiştir. Bununla birlikte, yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları ile yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının yükümlü bulunduğu son kayıt tarihinin geçmesinden sonra süre uzatılmamış; veri sorumlularına ayrı ayrı tebligat gönderilerek kayıt yükümlülüklerini tebligatta belirtilen süre içinde tamamlamaları Kurum tarafından hatırlatılmıştır. Daha sonra 11.03.2021 tarihli ve 2021/238 sayılı süre uzatım kararı ile bu veri sorumluları için de kayıt tarihi bir kez daha uzatılmıştır. Kayıt sürelerinin uzatılması kararları sonucunda, veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi ve son kayıt tarihleri aşağıdaki şekilde belirlenmiştir:
| Veri Sorumlusu | Başlangıç Tarihi | Verilen Süre | Son Kayıt Tarihi |
| Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişi veri sorumluları | 1 Ekim 2018 | 39 ay | 31 Aralık 2021 |
| Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları | 1 Ekim 2018 | 39 ay | 31 Aralık 2021 |
| Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları | 1 Ekim 2019 | 36 ay | 31 Aralık 2021 |
| Kamu kurum ve kuruluşu veri sorumluları | 1 Nisan 2019 | 33 ay | 31 Aralık 2021 |
